Cognito用户池的认证和授权API网关

Question

我想基于用户角色的身份验证和授权的方式找到。它是一个非常简单的用例，但我无法找到简单的文档。

我有工作的REST API（Java Spring MVC的，与dynamodb），并有从，我可以调用后端API API网关。

我已经使用API​​网关的congnito用户pool.So我不能将用户池与API方法

问题。 1）角色如何分配给congnito用户池 2）用户有没有简单的方法来授权与某些角色来调用AWS API网关定义的API的用户？或者我必须编写自定义代码/ lambda？

Answer 1

首先，cognito用户池主要是一个认证解决方案，如果您计划授权用户，新的cognito用户池的users & group功能将有所帮助。这主要适用于单个租户应用程序，其中特定用户可以在一个租户中，并且该用户属于单个组。

从API网关端，您可以使用IAM验证，因为你可以用附加的政策，各组不同的角色，其中的政策，您可以授予访问来自API网关不同的资源端点。